Windows 11’de Yeni Sıfır Gün: “MiniPlasma” SYSTEM Yetkisi Sağlayan Exploit Yayınlandı

Windows 11 ve diğer Windows sürümlerini etkileyen yeni bir sıfır gün güvenlik açığı kamuoyuna açıklandı. “MiniPlasma” adı verilen açık için proof-of-concept (PoC) exploit kodu GitHub üzerinden yayımlandı.

Saldırının, tam güncel sistemlerde SYSTEM yetkisi elde edilmesine imkan tanıdığı belirtiliyor.

 Açığın Kaynağı Cloud Filter Sürücüsü

Açığın, Windows’taki “cldflt.sys” Cloud Filter sürücüsünde bulunan “HsmOsBlockPlaceholderAccess” rutininden kaynaklandığı ifade edildi.

Sorunun ilk olarak Google Project Zero araştırmacısı James Forshaw tarafından Eylül 2020’de Microsoft’a bildirildiği kaydedildi.

Söz konusu açık o dönemde “CVE-2020-17103” kimliğiyle takip edilmiş ve Aralık 2020 güncellemeleri kapsamında yamalandığı açıklanmıştı.

 “Yama Tam Kapanmadı” İddiası

Exploit kodunu yayımlayan araştırmacı Chaotic Eclipse (Nightmare Eclipse), Microsoft’un açığı tam olarak düzeltmediğini iddia etti.

Araştırmacı, hem kaynak kodunu hem de derlenmiş çalıştırılabilir sürümü kamuoyuyla paylaştı.

Açıklamasında şu ifadeye yer verdi:

“Microsoft ya hiçbir zaman tam anlamıyla düzeltmedi ya da yapılan yama daha sonra sessiz şekilde geri alındı.”

 Windows 11 Üzerinde Başarılı Test

Windows 11 üzerinde yapılan testlerde exploitin, Mayıs 2026 güvenlik güncellemeleri yüklü sistemlerde başarıyla çalıştığı bildirildi.

Test sırasında standart kullanıcı hesabı kullanıldığı ve exploit sonrası SYSTEM yetkilerine sahip komut istemcisinin açıldığı aktarıldı.

Güvenlik analisti Will Dormann da açığın güncel Windows 11 sürümünde çalıştığını doğruladı.

 Teknik Detaylar ve Kötüye Kullanım

Araştırmacılar, exploitin undocumented “CfAbortHydration” API’si üzerinden Cloud Filter sürücüsünün kayıt defteri işlemlerini kötüye kullandığını belirtti.

İlk raporlarda açığın, “.DEFAULT” kullanıcı kayıt alanında kontrolsüz anahtar oluşturulmasına izin vererek yetki yükseltmeye yol açabileceği ifade edilmişti.

 EDR İzleme Önerisi

Güvenlik platformları, kurumların saldırıları tespit edebilmesi için belirli kayıt defteri yollarını izlemeleri gerektiğini açıkladı:

• \Registry\User\Software\Policies\Microsoft\CloudFiles\BlockedApps*
• \Registry\User.DEFAULT\Volatile Environment*

Araştırmacının Önceki Açıkları

Chaotic Eclipse, daha önce de “BlueHammer”, “RedSun”, “YellowKey”, “GreenPlasma” ve “UnDefend” gibi Windows exploit araçlarını yayımlamıştı.

“YellowKey” aracının TPM tabanlı BitLocker korumasını aşabildiği ve şifrelenmiş sürücülere erişim sağlayabildiği öne sürülmüştü.

Araştırmacı, bu açıkları kamuya açık paylaşmasının Microsoft’un hata ödül programına bir protesto olduğunu savunuyor.

Kaynak: Beykozun Sesi